Una vulnerabilidad en el navegador de Google ha si reportada al equipo de seguridad de Chromium, esta permitiría a un tercero iniciar la grabación de audio o vídeo desde el navegador sin mostrar ningún tipo de notificación al usuario.
Para que esto sea posible, primero hay que dar permiso al sitio web para usar WebRTC. Si no sabes lo que es, se trata de un protocolo impulsado por Google desde hace varios años y que permite a los navegadores modernos hacer llamadas de voz y vídeo y compartir archivos P2P sin necesidad de plugins adicionales.
Gracias a WebRTC puedes usar infinidad de sitios web para comunicarte en tiempo real a través de chats de audio o vídeo, compartir tu pantalla, compartir archivos a través de P2P, etc.
Cualquiera de esos sitios a los que des permiso para establecer el protocolo, podría entonces grabar audio o vídeo usando un código JavaScript sin mostrar el indicador gráfico en forma de punto rojo, que te avise de que el proceso está ejecutándose.
La web se encuentra grabando en ese momento, y no hay indicador gráfico
Quien reportó el problema ha reproducido la situación y ha dejado su propia prueba de concepto ejemplificando cómo es el proceso de grabación y hasta puedes descargar el archivo para que lo compruebes.
Un miembro del equipo de Chromium ha respondido al reporte indicando que no le parece que sea realmente un problema de seguridad, simplemente porque WebRTC en un dispositivo móvil tampoco muestra un indicador... Sin embargo dicen que buscarán formas de mejorar esta situación.
Puede no ser un problema de seguridad si el usuario tiene que acceder a dar los permisos a WebRTC en primer lugar, pero mínimo es un problema de privacidad, que no se te notifique cuando esos permisos están en uso, y especialmente cuando un sitio puede estar grabándote por tiempo indefinido sin ningún tipo de alerta visual.
Vía | gHacks
En Genbeta | Google te va a migrar automáticamente a Chrome de 64 bits si usas Windows y tienes suficiente RAM
Ver 7 comentarios
7 comentarios
jonathanrivera
Chrome es una basura, por eso no lo uso, tambien recopila datos privados y es otro mopolio mucho peor que Microsoft.
eigermoso
Desde que el Day Zero de Google se la pasan buscandole el milesimo error a los productos de Microsoft confío menos en Chrome porque se la pasan anunciando lo excelente navegador que es y se le pasan errores grarrafales como este,fue excelente decisión mudarme a Firefox
lorabe
Evidentemente, eso no tiene mucho de error, parece más bien intencionado.
La gente usa Chrome... deberíamos de usar Firefox.
kj_
"sin mostrar ningún tipo de notificación al usuario"... "hay que dar permiso al sitio web para usar WebRTC".
No veo donde está el bug, es algo que pide permiso antes de ejecutarse, y si es vídeo peor, ya que la luz de la cámara se enciende también.